Pentru atacatorii cibernetici, instrumentele EDR populare se pot transforma în ștergătoare de date distructive

Multe tehnologii de încredere de detectare și răspuns la punctele finale (EDR) pot avea o vulnerabilitate care oferă atacatorilor o modalitate de a manipula produsele pentru a șterge practic orice date de pe sistemele instalate.

Sau Yair, un cercetător de securitate la SafeBreach care a descoperit problema, a testat 11 instrumente EDR de la diferiți furnizori și a constatat că șase dintre ele, dintr-un total de patru furnizori, sunt vulnerabile. Produsele vulnerabile au fost Microsoft Windows Defender, Windows Defender pentru Endpoint, TrendMicro ApexOne, Avast Antivirus, AVG Antivirus și SentinelOne.

CVE formale și patch-uri

Trei dintre vânzători au atribuit numere CVE formale pentru erori și au emis corecții pentru acestea înainte ca Yair să dezvăluie problema la conferința Black Hat Europe de miercuri, 7 decembrie.

La Black Hat, Yair a lansat un cod de dovadă a conceptului numit Aikido, pe care l-a dezvoltat pentru a demonstra cum un ștergător, doar cu permisiunile unui utilizator neprivilegiat, ar putea manipula un EDR vulnerabil pentru a șterge aproape orice fișier de pe sistem, inclusiv fișierele de sistem. „Am putut exploata aceste vulnerabilități în mai mult de 50% dintre produsele EDR și AV pe care le-am testat, inclusiv produsul implicit de protecție a punctelor finale pe Windows”, a spus Yair într-o descriere a discursului său Black Hat. „Suntem norocoși că am descoperit acest lucru înaintea atacatorilor reali, deoarece aceste instrumente și vulnerabilități ar fi putut face a multe pagube căzând în mâini greșite.” El a descris ștergătorul ca fiind probabil eficient împotriva sute de milioane de puncte finale care rulează versiuni EDR vulnerabile la exploit.

În comentariile pentru Dark Reading, Yair spune că a raportat vulnerabilitatea vânzătorilor afectați între iulie și august. „Apoi am lucrat îndeaproape cu ei în următoarele câteva luni la crearea unei remedieri înainte de această publicare”, spune el. „Trei dintre furnizori au lansat noi versiuni ale software-ului sau patch-urilor lor pentru a aborda această vulnerabilitate.” El i-a identificat pe cei trei furnizori ca fiind Microsoft, TrendMicro și Gen, producătorul produselor Avast și AVG. „Încă de astăzi, nu am primit încă confirmarea de la SentinelOne despre dacă au lansat oficial o remediere”, spune el.

Yair descrie vulnerabilitatea ca având legătură cu modul în care unele instrumente EDR șterg fișierele rău intenționate. „Există două evenimente cruciale în acest proces de ștergere”, spune el. „Există momentul în care EDR detectează un fișier ca fiind rău intenționat și momentul în care fișierul este de fapt șters”, care uneori poate necesita o repornire a sistemului. Yair spune că a descoperit că între aceste două evenimente un atacator are posibilitatea de a folosi ceea ce sunt cunoscute sub numele de puncte de joncțiune NTFS pentru a direcționa EDR să ștergă un fișier diferit de cel pe care l-a identificat ca fiind rău intenționat.

Punctele de joncțiune NTFS sunt similare cu așa-numitele legături simbolice, care sunt fișiere de comandă rapidă către foldere și fișiere situate în altă parte a unui sistem, cu excepția faptului că joncțiunile sunt folosite pentru link directoare pe diferite volume locale pe un sistem.

Declanșarea Problemei

Yair spune că, pentru a declanșa problema pe sistemele vulnerabile, a creat mai întâi un fișier rău intenționat - folosind permisiunile unui utilizator neprivilegiat - astfel încât EDR să detecteze și să încerce să ștergă fișierul. Apoi a găsit o modalitate de a forța EDR să amâne ștergerea până după repornire, menținând deschis fișierul rău intenționat. Următorul său pas a fost să creeze un director C:TEMP pe sistem, să-l transforme într-un alt director și să creeze lucrurile, astfel încât, atunci când produsul EDR a încercat să ștergă fișierul rău intenționat, după repornire, a urmat o cale către un fișier complet diferit. . Yair a descoperit că ar putea folosi același truc pentru a șterge mai multe fișiere în locuri diferite de pe un computer, creând o comandă rapidă de director și punând căi special concepute către fișierele vizate în interiorul acestuia, pentru ca produsul EDR să le urmeze.

Yair spune că, cu unele dintre produsele EDR testate, nu a reușit să ștergă fișiere arbitrare, dar a putut să ștergă dosare întregi.

Vulnerabilitatea afectează instrumentele EDR care amână ștergerea fișierelor rău intenționate până după repornirea sistemului. În aceste cazuri, produsul EDR stochează calea către fișierul rău intenționat într-o anumită locație – care variază în funcție de furnizor – și folosește calea pentru a șterge fișierul după repornire. Yair spune că unele produse EDR nu verifică dacă calea către fișierul rău intenționat duce la același loc după repornire, oferind atacatorilor o modalitate de a lipi o comandă rapidă bruscă în mijlocul căii. Astfel de vulnerabilități se încadrează într-o clasă cunoscută ca Ora de verificare Timpul de utilizare
(TOCTOU) vulnerabilități el remarcă.

Yair observă că, în majoritatea cazurilor, organizațiile pot recupera fișierele șterse. Așadar, obținerea unui EDR pentru a șterge fișierele dintr-un sistem de la sine – deși rău – nu este cel mai rău caz. „O ștergere nu este tocmai o ștergere”, spune Yair. Pentru a realiza acest lucru, Yair a proiectat Aikido astfel încât să suprascrie fișierele pe care le-a șters, făcându-le și ele irecuperabile.

El spune că isprava pe care a dezvoltat-o ​​este un exemplu al unui adversar care folosește puterea unui adversar împotriva lor - la fel ca în arta marțială Aikido. Produsele de securitate, cum ar fi instrumentele EDR, au drepturi de super-utilizator asupra sistemelor, iar un adversar care este capabil să le abuzeze poate executa atacuri într-un mod practic nedetectabil. El compară abordarea cu un adversar care transformă renumitul sistem de apărare antirachetă Iron Dome al Israelului într-un vector de atac.